00-política de seguridad de la información_da_669-04- ultimo (1)

• Seguridad •informática

• de la Información

• Seguridad

|

SEGURIDAD

• El término seguridad posee múltiples usos. Puede afirmarse que este concepto que proviene del latín securitas (que a su vez se deriva del adjetivo securus, el cual esta compuesto por se (sin) y cura (cuidado o preocupación), lo que significa sin temor, despreocupado o sin temor a preocuparse.

• A grandes rasgos, el concepto hace foco en la característica de seguro, es decir, realza las propiedades de aquello donde no se registran peligros, daños ni riesgos.

• Una cosa segura es algo firme, cierto e indubitable. La seguridad, por lo tanto, puede considerarse como una certeza.• Sin embargo, es un concepto relativo: ¡ ¡ ¡ la seguridad absoluta NO EXISTE. ! ! !

La SEGURIDAD como necesidad:

• A lo largo de la historia, y como se muestra a continuación en la pirámide de necesidades de Maslow, la seguridad constituye una necesidad básica para los seres humanos en su lucha por proteger sus vidas y bienes materiales, ocupando el segundo nivel dentro de las necesidades de déficit.

CONCEPTOSCONCEPTOS

Pirámide de Maslow (jerarquía de las necesidades

humanas)La pirámide de Maslow es una teoría

psicológica propuesta por Abraham Maslow en su obra: Una teoría sobre la motivación humana de 1943 (en inglés, A Theory of Human Motivation), que posteriormente

amplió. Maslow formula en su teoría una jerarquía de necesidades humanas y defiende que conforme se satisfacen las necesidades

más básicas (parte inferior de la pirámide), los seres humanos desarrollan necesidades y deseos más elevados (parte superior de la

pirámide).

A medida que la persona logra controlar sus necesidades básicas aparecen gradualmente necesidades de orden superior originando, en

cierta medida, las diferencias jerárquicas propias de cada individuo. No todas las personas van a sentir la necesidad de

autorrealización, por ejemplo

Por último, las necesidades básicas requieren para su satisfacción un ciclo motivador

relativamente corto, en contraposición, las necesidades superiores requieren de un

ciclo más largo. Obviamente, sentirse autorrealizado requiere un periodo temporal

más amplio que cubrir cualquiera de las necesidades situadas en la base de la pirámide.

Seguridad Informática

INFORMACION = ACTIVOINFORMACION = ACTIVOEn la actualidad , la seguridad informática ha tomado una importancia significativa en el ámbito de las tecnologías de información y comunicación. Cada día se busca cuidar

en un mayor nivel a los activos informáticos de una organización, dado que se han

identificado sobre ellos distintos tipos de ataques.

La protección a la información generada en las organizaciones de todo tamaño

(públicas y privadas) ha tomado hoy verdadera importancia .

Es así porque la información es calificada actualmente como el activo más

importante dentro de una organización, junto con el recurso humano, debido a

que ella le permite, en cualquier nivel de la empresa, llevar a cabo una eficiente toma

de decisiones.

Con el avance de la tecnología, la administración de la información, (entendiéndose por administrar, las acciones tendientes a crear, editar,

comunicar y eliminarla) se realiza a través de sistemas informáticos que involucran

hardware y software.

Así mismo los usuarios, ya sea de la información como de los sistemas

informáticos, son personas tanto internas como externas a la empresa. Sin embargo, este desarrollo tecnológico, además de

traer beneficios, también ha traído sucesos negativos, ya que la tecnología permite de manera directa o indirecta el

acceso a la información confidencial de la empresa.

Por este motivo, es necesario que los usuarios y organizaciones que manejan

tecnologías de información, identifiquen la importancia de darle un buen uso a tales

elementos, así como también el evitar que personas ajenas tengan acceso a ellos.

Así, la seguridad informática se ha convertido en uno de los temas actuales

más importantes en el ámbito tecnológico.

Algunos Conceptos Básicos (1)

La Información“La información es un activo

que, como otros activos importantes del negocio,

tiene valor para la organización y requiere en

consecuencia una protección adecuada.”

ISO/IEC 17799


Vulnerabilidades

Vulnerabilidad:

Una debilidad (o agujero) en la seguridad de la organización

▪ Puntos y control de acceso (lógicos y físicos) ▪ Falta de Mantenimiento ▪ Personal sin conocimiento ▪ Desactualización de los sistemas críticos

▪ Una vulnerabilidad, por sí misma, no produce daños. Sin embargo, es un condicionante para que una amenaza afecte un activo


Amenaza Declaración intencionada de hacer un daño (Virus, acceso no autorizado, robo)

• Incluye, a eventos naturales que pueden desencadenar daños materiales o pérdidas inmateriales en los activos. Las amenazas se pueden materializar y transformarse en agresiones

Riesgo Potencial explotación de una vulnerabilidad de un activo de información por

parte de una amenaza.• Se valora como una función:

del Impacto, del tipo de Amenaza y Vulnerabilidad y de la probabilidad de un ataque exitoso

Ataque Acción intencional e injustificada (desde el punto de vista del atacado).

Intento por romper la seguridad de un sistema o de un componente del sistema.


Atacante Alguien que deliberadamente intenta hacer que un sistema de seguridad falle,

encontrando y explotando una vulnerabilidad• Externos & Internos

Internos: Difíciles de detener porque la organización esta forzada a confiar en ellos. Conocen cómo trabaja el sistema y cuáles son sus debilidades.

“Quizás el error más común de seguridad es gastar considerables recursos combatiendo a los atacantes externos ignorando las amenazas internas”

“Hay que conocer los atacantes: Motivaciones, objetivos, expertise, acceso, recursos, aversión al riesgo”

Safety & Security Prevención en contra de actos no intencionales vs. intencionales que pudieran

ser realizados por parte de terceros

la seguridad

Es difícil de medir y la mayor parte del tiempo oímos de ella sólo cuando falla

La medición de los resultados es clave para justificarla ante la alta gerencia

La Seguridad es tanto una sensación como una realidad. Sentirse seguro no es realmente estar protegido.

El concepto de seguridad es altamente subjetivo, por tanto cada uno determina su propio nivel de riesgo y lo que está dispuesto a pagar por las medidas que tome.

No hay un nivel correcto de seguridad, únicamente existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza.

Como todo concepto, la Seguridad se ha desarrollado y ha seguido evolucionando dentro de las organizaciones sociales. Con el uso de las Tecnologías de la Información y Comunicación (TICs), la seguridad informática adquiere nuevas dimensiones en la prevención de delitos y riesgos. La evolución tecnológica genera oportunidades pero también grandes riesgos a la información corporativa, uno de los bienes más valiosos y clave para el éxito del negocio. Actualmente, la globalización ha permitido descubrir que no sólo está expuesta al terrorismo cibernético la infraestructura básica de servicios públicos de un país, sino que ahora sus otros objetivos son, además, sitios de la red, servidores de comercio electrónico, correos electrónicos, y hasta la misma infraestructura operativa y comercial crítica de una empresa, o de varias en su conjunto. La lista de objetivos potenciales incluye empresas industriales, comerciales y de servicios, centrales eléctricas, bancos y seguros, aerolíneas, sistemas de control de tráfico aéreo, transporte y logística, instalaciones petroleras y gasíferas, químicas y petroquímicas, procesadoras de alimentos, centros de salud y entidades gubernamentales, etc.

Por lo tanto, hoy en día existe una imperiosa necesidad de reducir los riesgos en el uso de la tecnología de información en las organizaciones de cualquier tipo y nivel, así como una latente inquietud y preocupación, referida al tema de seguridad informática.

seguridad de la información (1)

El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.

La seguridad de la información se define como la preservación de: ▪ Confidencialidad. Aseguramiento de que la información es accesible

sólo para aquellos autorizados a tener acceso ▪ Integridad. Garantía de la exactitud y totalidad de la información y de

los métodos de procesamiento. ▪ Disponibilidad. Aseguramiento de que los usuarios autorizados

tienen acceso cuando lo requieran a la información y a los recursos relacionados.

• Todo esto, según el nivel requerido para los objetivos de negocio de la empresa.

seguridad de la información (2)

Objetivos Asegurar la continuidad de la empresa. Mantener la competitividad, la rentabilidad, los recursos

generales, el cumplimiento de las leyes y la imagen comercial. Minimizar el riesgo. Maximizar las oportunidades del negocio.

¿Porqué es necesaria? Existen gran variedad de Riesgos y Amenazas:

Fraudes, espionaje, sabotaje, vandalismo, incendio, inundación, Hacking, virus, denegación de servicio, etc.

Provenientes de múltiples fuentes. Mayor vulnerabilidad a las amenazas por la dependencia de los sistemas y

servicios de información interconectados. La mayoría de los sistemas de información no han sido diseñados para ser

seguros.

Seguridad de la InformaciónConcept

o

centralizada,

distribuida y

Transportada electrónica o físicamente

en cualquier organización.

Conci

enci

a

El

ement

os prot

egi

dos

Está constituida por los mecanismos tecnológicos y administrativos que se llevan a cabo y utilizan para la protección de los activos informáticos de una organización, ante amenazas internas o externas. Son:

Hardware: elementos físicos de los dispositivos electrónicos que se utilizan para la administración de la información dentro de una organización.

Software: programas, como por ej. sistemas de información, que nos permiten administrar la información.

Información: Son los datos que van a ser administrados con el apoyo de la tecnología de información y comunicación. Se entiende por administrar información a crear, editar, manipular, comunicar y eliminar información.

Recurso Humano: personas encargadas de administrar la información a través del Hardware y Software.

Seguridad de la información Como dijimos y puede visualizarse, está constituida por los mecanismos tecnológicos y

administrativos que se llevan a cabo y utilizan para la protección de los activos informáticos de una organización, ante amenazas internas o externas.

SEGURIDAD INFORMÁTICA

ACTIVOS INFORMATICOS

MECANISMOS ADMINISTRATIVOS

MECANISMOS TECNOLÓGICOS HARDWARE

SOFTWARE INFORMACIÒN

RECURSO HUMANO

ATAQUES INTERNOS

ATAQUES EXTERNOS


Backdoors Catástrofe

s Código

malicioso Cracking Escaneo

de puertos Exploits Fraude

informático

Hacking Ingeniería

Social Jamming o

flooding Man-in-

the-middle

ConfidencialidadIntegridadDisponibilidad

más

AutenticidadAuditabilidadProtección a la duplicaciónNo repudioLegalidadConfiabilidad de la información

INFORMACION = ACTIVOINFORMACION = ACTIVOCaracteres Riesgos

Malware: Bombas

lógicas Gusanos Hijacking Spyware Troyanos Virus Packet

Sniffing Phishing Phreaking Piratería de

software Snooping

(y Downloading)

Tampering o data diddling

Trashing / Carding

Vulneracio-nes a Seguir-dad Física

Web: Ataque x Diccionario

Ataque x Diccionario: c/ Tablas Arco Iris

Defacement

Inyección de Scripts

Inyección de SQL

Seguridad de la Información

INFORMACION = ACTIVOINFORMACION = ACTIVO

Se concibe a la

confidencialidad, la integridad yla disponibilidad

como los tres principios básicos de la seguridad

de los sistemas de información (“the Big

Three”). Todos los controles,

salvaguardas, amenazas, vulnerabilidades y

procedimientos relacionados con la seguridad de la

información se basan en estos tres principios.



Intenta prevenir la revelación no

autorizada, intencional o no, del contenido de un

mensaje o de información en general.

La pérdida de información puede

producirse de muchas maneras, p.ej., mediante publicación intencional

de información confidencial de una organización o por

medio de mal uso de los derechos de acceso en

un sistema.



Asegura que: - - No se realizan

modificaciones de datos en un sistema por

personal o procesos NO autorizados.

- No se realizan modificaciones no

autorizadas de datos por personal o procesos

autorizados. - Los datos son

consistentes, es decir, la información interna es

consistente entre sí misma y respecto de la situación real externa.



Asegura que: el acceso a los datos o a

los recursos de información por personal

autorizado se produce correctamente y en

tiempo. Es decir, la

disponibilidad garantiza que los sistemas

funcionen cuando se los necesita.



Lo contrario de la confidencialidad, integridad y la disponibilidad son la revelación, la modificación y la destrucción.

Por tanto, la confidencialidad, la integridad y la disponibilidad son los conceptos claves en el ámbito de la seguridad de la información, y todo analista y/o auditor de sistemas de información debe tenerlos en claro, de conformidad con lo que las distintas normas y certificaciones han establecido. Y, a esos caracteres cabe agregar . . .



s Código



informático

Hacking Ingeniería

Social Jamming o

flooding Man-in-

the-middle


más



Malware: Bombas



software Snooping

(y Downloading)


Trashing / Carding




Defacement


Inyección de SQL



• Autenticidad

• Auditabilidad

• No repudio

• Protección a la duplicación

Capacidad de suministrar información veraz y no

distorsionada.

Permitir la reconstrucción,

revisión y análisis de la secuencia de eventos, mediante

signos de trazabilidad

incorporados durante su

tratamiento.

Propiedad que impide

que se pueda negar un

evento o una transacción.

Propiedad que permite evitar duplicación espuria de

datos y otros elementos de información.

Caracteres

Conceptos

• Cuando se configura una nueva dirección IP para un computador de una red, el mismo difunde esta

información por toda la red, impidiendo su reiteración.

Protección contra duplicación de direcciones IP

• Dentro de los protocolos TCP/IP de transmisión en una red informática, evita que al reensamblarse

múltiples paquetes en circulación, puedan repetirse.

Protección contra duplicación de paquetes

Ejemplos de “Protección contra duplicación”

Ejemplo de “Protección contra No Repudio”

No repudio • Proporciona protección contra la negativa, por parte de alguna de las entidades implicadas en la comunicación, de haber participado en toda o parte de la comunicación. • El servicio de Seguridad de No repudio o Irrenunciabilidad está estandarizado en la norma ISO-7498-2.

…de origen: • El emisor no puede negar que lo ha enviado porque el destinatario tiene pruebas del envío: el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, en caso de negar tal envío, tenga éxito ante el juicio de terceros. • En este caso la prueba la crea el propio emisor y la recibe el destinatario.

• Prueba que el mensaje fue enviado por la parte específica.

…de destino: • El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue

posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor.• Prueba que el mensaje fue recibido por la parte específica



• Legalidad• Confiabilida

d de la información

Que la información

respete las reglas y regulaciones estipuladas en relación a su contenido.

Los métodos para recolectar y capturar

la información deben garantizar que sobre ella se pueda depositar

confianza y que se impida que sea

alterada durante su proceso.

Caracteres

Conceptos



s Código



informático

Hacking Ingeniería

Social Jamming o

flooding Man-in-

the-middle


más



Malware: Bombas



software Snooping

(y Downloading)


Trashing / Carding




Defacement


Inyección de SQL

Seguridad InformáticaPatrón de Amenazas contra la seguridad de la empresa:

3°: se hallan nuevas formas de violar el sistema

y burlar la detección

2°: desarroll

an métodos

de prevenció

n y detección

1°: Atacantes vulneran

el sistema

4°: vuelven a desarrollar nuevos

métodos de detección y prevención

Analistas y desarrollad

ores de seguridad

AtacantesEl patrón se repite:

… reiterándose el ciclo, sucesivamente:


1 •Debido a que los ataques se multiplican y son cada vez más agresivos y más rápidos, existe un creciente énfasis en la implementación de: 1) análisis consistentes, 2) medidas preventivas y 3) una administración de seguridad de la información.

2 • Los ataques ya no consisten simplemente en un virus, generalmente son bien planificados.• Al mismo tiempo, las organizaciones están presentando más sistemas que logran disolver eficientemente los límites existentes entre lo que se ha considerado como amenazas internas y externas.

3 •Asimismo, la necesidad de que los grupos de TI encuentren nuevas formas de hacer más con menos, lleva a descubrir formas de volver a utilizar la infraestructura heredada de grandes sistemas (mainframe). Por su parte, este reciclaje ha expuesto más recursos informáticos (tales como sistemas mainframe que hasta hace poco se consideraban muy seguros) a los mismos desafíos que enfrentan los sistemas distribuidos

4 •Para poder comprender realmente el entorno de seguridad actual, debemos analizar las experiencias del pasado que nos condujeron hasta aquí. Las tomaremos como base para analizar las continuas amenazas contra recursos y activos, lo que permitirá sentar las bases para debatir sobre amenazas emergentes.

Amenazas en desarrollo contra la Seguridad Informática

Violan elsistema

operativo Utilizan las utilidadesdel sistema operativo

para detectar laviolación

Usan otras utilidades del S.O. y adicionales para reconocer la violación y

buscar troyanos y archivos de

configuración dañados

Desarrollan troyanos para reemplazar las utilidades del

sistema operativo

Tomemos como ejemplo las primeras amenazas contra la seguridad. (ejemplo: sobre UNIX) Cuando los atacantes violaban los sistemas informáticos, inevitablemente dejaban rastros de sus actividades:

Las amenazas y medidas de seguridad evolucionan como

respuesta recíproca.

ATACANTES

ADMINISTRADORES

Amenazas en desarrollo contra la Seguridad Informática

Los administradores de sistemas, en teoría, pueden controlar el estado de sus sistemas con utilidades que registran y muestran información sobre procesos, configuración de redes y utilización de recursos.

Estos programas fueron algunos de los primeros blancos de atacantes que deseaban evitar la detección.

A medida que iban desarrollando métodos para violar sistemas y borrar huellas, los atacantes armaban paquetes de programas denominados rootkit y los ofrecían gratuitamente a otros atacantes.

Lamentablemente, el resultado de esta colaboración es que un atacante con conocimientos y experiencia limitada constituye una verdadera amenaza contra la seguridad de redes y sistemas.

¿Qué son los rootkits?Un rootkit es un programa caracterizado

por: 1) permitir un acceso de privilegio continuo a una computadora y2) mantener su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.

Originalmente el término RootKit proviene de sistemas Unix y hacía referencia a pequeñas utilidades y herramientas que permitían acceso como "root" de esos sistemas.El término ha evolucionado y actualmente es un conjunto de herramientas utilizadas en cualquier sistema para conseguir acceder ilícitamente al mismo. Generalmente se los utiliza para ocultar procesos y programas que permiten acceso al sistema atacado, incluso tomar control de parte del mismo.

http://es.wikipedia.org/wiki/Sistema_operativo

¿Qué son los rootkits? (2)Es importante remarcar que un Rootkit no es un Malware en sí mismo pero, debido a que es utilizado ampliamente para ocultar a los mismos, muchas veces se lo considera incorrectamente como programa dañino.

Actualmente, incluso son utilizados por ciertas empresas para controlar componentes del sistema y permitir o denegar su utilización.

Hay que remarcar que el uso de estos programas es éticamente incorrecto (o incluso ilegal), si se hace sin la autorización expresa del usuario.

ROOTKIT en WINDOWS: A pesar de nuestras experiencias diarias ¡ ¡ Windows expresa haber sido diseñado teniendo en cuenta seguridad y estabilidad ! ! ! ! El núcleo (kernel) debe ser protegido de las aplica-ciones de usuario, pero éstas requieren usar ciertas funcionalidades del kernel. Para facilitar esto, Windows implementa dos modos de ejecución: modo usuario y modo kernel (o supervisor). .

Windows sólo soporta hoy esos dos modos de ejecución, aunque las CPUs de Intel y AMD soportan cuatro “anillos” o modos de privilegio para proteger los datos y el código del sistema de ser sobreescritos maliciosa o inadvertidamente por código de menor privilegio Las aplicaciones corren en modo

usuario, que procesa sin privilegios.

El modo kernel s e refiere a un modo de ejecución que otorga acceso a toda la memoria del sistema y a todas las instrucciones del procesador. Ejemplo: los servicios del sistema enumerados en la Tabla de Descriptores de Servicio del Sistema (SSDT) corren en modo kernel. Muchas veces, los drivers de dispositivos HW de terceros, también corren en modo kernel.Windows etiqueta las páginas de memoria especificando qué modo es requerido para accederlas, pero no protege a la memoria en modo kernel respecto a otros procesos corriendo también en ese modo kernel.Cuando observamos rootkits de Windows, descubrimos que existen dos categorías de rootkits, correspondientes a los dos anillos de privilegios del procesador, a saber:modo usuario, que corren como aplicación

separada o dentro de otra aplicación existente y

modo kernel, que tienen todo el poder del sistema operativo, pudiendo corromper la

totalidad del sistema.

Seguridad InformáticaTomemos otro ejemplo: los virus de correo electrónico.

Originalmente, los virus de correo electrónico se detectaban al encontrar un patrón o firma (cadena de caracteres) específica en un mensaje de correo electrónico.

Los creadores de virus respondieron con el cifrado de virus y la codificación de rutinas de descifrado junto con la carga del virus.

Los motores de descifrado pueden ser detectados, de modo que los creadores de virus desarrollaron motores metamórficos para modificar las propiedades sintácticas de las rutinas de descifrado. Esto cambió significativamente el panorama de detección de virus.

En lugar de detectar un patrón de códigos específico, el software de antivirus pasó a ser heurístico (basado en la experiencia) y debía detectar los virus en base a la conducta de ejecución o algún otro método no comparativo.

No obstante, ese patrón dinámico de ataque/respuesta de los primeros tipos de ataques

aún tiene vigencia.


Por lo expuesto, los virus de correo electrónico se han convertido en métodos de ataque más sofisticados. Algunos virus, conocidos como amenazas combinadas, utilizan diversos métodos para violar un sistema y, una vez que se introdujeron en el sistema, implementan diversos tipos de ataques.

Un ejemplo es el famoso virus de correo electrónico “Mydoom”, que utiliza varios componentes de malware: Una puerta trasera instalada con el Explorador de Windows para emitir un DDL

(lenguaje de definición de datos) que se puede escuchar desde un puerto disponible, probablemente para obtener instrucciones del autor del virus

Un ataque de denegación de servicio distribuido (DDoS) contra http://www.sco.com (una corporación que asociada en sus orígenes a Linux y al movimiento software libre, desarrollaba distribuciones Linux para servidores y estaciones de trabajo). El “Mydoom.B” incluye un ataque DDoS contra http://www.microsoft.com)

Una rutina para obtener direcciones de correo electrónico Un archivo host de reemplazo, para evitar que la computadora infectada pueda

alcanzar a la empresa de antivirus y otros sitios Web proveedores de soluciones.

http://www.sco.com/

http://es.wikipedia.org/wiki/Linux_(n%C3%BAcleo)

http://es.wikipedia.org/wiki/Software_libre

http://es.wikipedia.org/wiki/Distribuci%C3%B3n_Linux

http://www.sco.com/

Seguridad InformáticaPrincipios incorporados a partir de experiencias

anterioresCon estos ejemplos básicos de violaciones a la seguridad de los sistemas operativos y virus de

correo electrónico ocurridos en el pasado, se puede dar un panorama sobre

la naturaleza de las amenazas y su relación con la administración de seguridad.

1) El objetivo de la administración de seguridad es proteger los recursos y los activos .

2) La administración de seguridad no es un proceso estático

3) El daño producido por una infracción puede aumentar rápidamente a partir de la intrusión inicial.

4) La administración de seguridad requiere que los administradores de sistemas eviten que sus sistemas se conviertan en componentes o zombies de ataques distribuidos en otros sistemas.

Por tanto, el entorno de seguridad de hoy es producto de las experiencias del pasado y de la tecnología actual.


anteriores (2)

1) El objetivo de la administración de seguridad es proteger los recursos y los activos . Éstos incluyen:

Los más visibles, tales como las aplicaciones, los servidores y la información confidencial, y Los más intangibles, como las marcas comerciales, la buena relación con los clientes y las

obligaciones contractuales.

2) La administración de seguridad no es un proceso estático. Los sistemas de información cambian de modo permanente a medida que surgen aplicaciones

nuevas, cambian las configuraciones y se introducen nuevas tecnologías (tales como conexiones inalámbricas).

El malware (como los virus, los gusanos, el spam y los códigos móviles maliciosos) amenaza con afectar y dañar los sistemas informáticos. Dichas amenazas explotan diversos aspectos vulnerables, aprovechando los puntos débiles del correo electrónico, los lenguajes de scripts, las características del explorador, la configuración de los servidores y otras características de los sistemas distribuidos.

Los días de dependencia en la defensa de perímetros físicos para evitar la introducción de malware quedaron atrás. Los límites entre “interno” y “externo” se han ido borrando a medida que las empresas integran los procesos de todas las líneas organizacionales.


anteriores (3)

3) El daño producido por una infracción puede aumentar rápidamente a partir de la intrusión inicial .

Se pueden cambiar archivos del sistema operativo, modificar archivos de configuración e implementar programas de puerta trasera.

Al mismo tiempo, éstos pueden convertirse en la base de una segunda serie de ataques, tales como la ejecución de ataques DDoS contra otros sistemas.

4) La administración de seguridad requiere que los administradores de sistemas eviten que sus sistemas se conviertan en componentes o zombies de ataques distribuidos sobre otros sistemas .

Éstos incluyen tanto los ataques DDoS como la proliferación de virus de correo electrónico.

La falta de seguridad en un sistema puede producir ataques en muchos otros sistemas.


Ataques informáticos: Se dice que el primer ataque informático de la historia se produjo un viernes 13 del año 1989 (en enero). Una revista especializada regalaba disquetes promocionales, que resultaron estar infectados por un virus que afectó a decenas de empresas y particulares. Fue el primer ataque masivo de la historia, y desde entonces no sólo ha cambiado la manera de propagarse los virus, sino también la motivación de los hackers y/o delincuentes informáticos

• Se debe entender a un ataque informático como la acción que se realiza con la intención de impactar de manera negativa en el trabajo eficiente de los activos informáticos.

Seguridad InformáticaAtaques informáticos (2) Para que exista un ataque sobre los activos informáticos de una organización, se deben de conjugar tres distintos aspectos, que se pueden catalogar como componentes del mismo, a saber: Motivo, Oportunidad y Conocimiento.Motivo: los propietarios de activos informáticos deben concientizarse en que los mismos, por más privados y ocultos que se encuentren, son una tentación para personas u organizaciones, tanto internas como externas a su uso. En este sentido, se pueden identificar diversos motivos como son: autoconocimiento, dinero, venganza, competencia e información, entre otros.Oportunidad: mientras no existan mecanismos (administrativos y tecnológicos) formales de protección a activos informáticos, los mismos se encuentran vulnerables y presentan un alto riesgo de recibir un ataque.Conocimiento: Finalmente, se debe de entender que probablemente se tengan las políticas de seguridad más rigurosas y la tecnología de seguridad más avanzada, sin embargo siempre existirá un posible atacante lo bastante preparado como para vulnerar los activos informáticos.

• .

MOTIVO

OPORTUNIDAD

CONOCIMIENTO

ATAQUE INFORMÁTICO ACTIVOS

INFORMÁTICOS



s Código



informático

Hacking Ingeniería

Social Jamming o

flooding Man-in-

the-middle Packet

Sniffing


más



Malware: Bombas

lógicas Gusanos Hijacking Spyware Troyanos Virus Phishing Phreaking Piratería de

software Sabotaje

informático Snooping

(y Downloading)


Trashing / Carding




Defacement


Inyección de SQL

Seguridad Informática CLASIFICACION de RIESGOS:

GENERALES•Backdoors•Catástrofes•Código malicioso•Cracking•Eavesdropping•Escaneo de puertos•Exploits•Fraude informático•Hacking•Ingeniería Social•Jamming o flooding •Man-in-the-middle•Packet Sniffing

A través de WEB• Ataque x

Diccionario• Ataque x

Diccionario: c/ Tablas Arco Iris

• Defacement• Inyección de

Scripts • Inyección de

SQL

MALWARE• Bombas

lógicas • Gusanos• Hijacking • Spyware• Troyanos• Virus

GENERALES (2)• Phishing• Phreaking• Piratería de

software• Sabotaje

informático• Snooping (y

Downloading)• Spoofing• Tampering o

data diddling• Trashing /

Carding • Vulneraciones a

Seguridad Física

Algunos riesgos generalesbackdoors

Una puerta trasera (en inglés backdoor) en un

sistema informático es una secuencia especial dentro

del código de programación, mediante la cual se pueden evitar los

sistemas de segu-ridad del algoritmo de autenticación para acceder al sistema

Aunque estas puertas pue-den ser utilizadas para

fines maliciosos y espionaje, no siempre

derivan de un error, pues pueden haber sido

diseñadas por el desarro-llador con la intención de

tener una entrada secreta.

Catástrofe Una catástrofe es un

evento de origen# natural (rayos,

terremotos, inundaciones, rayos cósmicos, etc.) o # no natural (incendios, inundaciones edilicias,

afectaciones o deterioros eléctricos y/o magnéticos, fallos de software, etc.) susceptible de provocar

daños físicos o lógicos s/ el equipamiento (hardware e

instalaciones) o s/ programas y sistemas

(software).

El término es adaptación directa del inglés “backdoor” que significa "puerta de atrás". A pesar de que no se consideran propiamente como virus, representan un riesgo de seguridad importante, y usualmente es desconocida la inmensa gama de problemas que puedan llegar a producir. Al hablar de ellas nos referimos genéricamente a una forma "no oficial" de acceso a un sistema o a un programa.

Algunos programadores suelen dejar puertas traseras en su código a propósito, para poder entrar rápidamente en un sistema sin utilizar la vía ordinaria de acceso; en otras ocasiones, existen debido a fallas o errores.

Una de las formas típicas de actuación de los piratas informáticos es localizar o introducir una puerta trasera en los diversos sistemas y entrar por ella. Estos programas no se reproducen solos como los virus, sino que usualmente nos son enviados a través del correo electrónico con el fin de tener acceso a nuestros equipos, por lo que no son fáciles de detectar. Por su sola presencia, no siempre causan daños ni efectos inmediatos, por lo que pueden llegar a permanecer activos mucho tiempo sin que nos percatemos de ello

Generalmente estos programas se hacen pasar por otros, es decir, se ocultan en otro programa que les sirve de caballo de Troya para que el usuario los instale por error.

Las puertas traseras son fáciles de entender. Como todo en Internet se basa en la arquitectura cliente / servidor, sólo se necesita instalar un programa servidor en una máquina, para poder controlarla a distancia desde otro equipo, si se cuenta con el cliente adecuado: y éste, bien puede ser la computadora de un usuario descuidado o poco informado.

BACKDOORS (o “PUERTAS TRASERAS”)

Las puertas traseras (backdoors) son programas que permiten acceso a un equipo de forma remota prácticamente ilimitado. El problema, para quien quiere usar este ataque, es que debe convencer a la víctima de que instale el servidor que lo habilite. Por eso, si aparece un desconocido ofreciéndole algún programa maravilloso y tentador, no le crea de inmediato. Probablemente, lo que estén a punto de darle es un troyano, un servidor que le proporcionará a algún intruso acceso total a su computadora.

Hay una forma simple y totalmente segura de evitarlo: no acepte archivos ni mucho menos ejecute programas que le hayan mandado,

sobre todo si son de procedencia dudosa. Los programas que se clasifican como "backdoors" o "puertas traseras" son herramientas de administración remota de una red y permiten controlar las computadoras conectadas a ésta.

La razón de que, en algunos casos, se los clasifique como software malicioso, es que cuando corren, se instalan en el sistema sin necesidad de la intervención del usuario y una vez instalados, en la mayoría de los casos estas aplicaciones no se pueden visualizar en la lista de tareas. Consecuentemente un backdoor puede supervisar casi todo proceso en las computadoras afectadas, desinstalar programas, descargar virus en la PC remota, borrar información, entre otras muchas cosas más. Dada la complejidad de este tema, lo importante finalmente es comprender que si no se toman ciertas medidas mínimas, la información sensible que se encuentre en cualquier equipo, con el simple hecho de que el mismo tenga acceso a Internet resulta suficiente para que pueda estar expuesto a ataques de diversa índole.

BACKDOORS (o “PUERTAS TRASERAS”)(2)

Medidas básicas para estar a salvo de las puertas traseras: A saber:

Es recomendable asegurarnos de que cada cosa que ejecutamos esté bajo nuestro absoluto control. Una buena guía para ello es el sentido común (aunque…. suele resultar el menos común de los sentidos).

Procure no ejecutar programas de los que no sepa su procedencia, tanto en ICQ, adjuntos de correo, Messenger y descargas de Internet (ya sean vía Web o FTP).

La información nos protege. Es recomendable estar enterado de las noticias de virus y programas dañinos relacionados, visitando por lo menos las páginas de las distintas empresas antivirus o suscribiéndose a boletines específicos.

Es necesario instalar un antivirus y mantenerlo actualizado. En la actualidad, protegen al usuario no sólo contra virus, sino también contra gusanos, programas de puerta trasera, troyanos y algunos programas maliciosos.

Es bueno tener presente que existen virus y troyanos que pueden aparentar ser amigables (una simple tarjeta de felicitación), o que provienen de gente que Ud. conoce (como es el caso del gusano Sircam). Siendo así, no confíe en ningún programa ni en nada que reciba, hasta no revisarlo con el Antivirus.

Mantenga al día todas las actualizaciones de seguridad de Microsoft, para todas y cada una de las distintas aplicaciones.

BACKDOORS (o “PUERTAS TRASERAS”)(3)

Otros tipos de Catástrofes (por Fallas de software) (1)

• Cada día la tecnología nos hace más dependientes de las máquinas, y éstas a su vez delegan más su comportamiento en complejos desarrollos de software que gestionan la operatividad de los dispositivos.

• Podemos encontrar innumerables ejemplos aplicados a cualquier otro tipo de situación donde pueda existir un software, y el comportamiento afecte a la seguridad, la privacidad, la libertad o incluso la vida de las personas.

• Según un informe elaborado en mayo de 2002 por el National Institute of Standards & Technology (NIST), perteneciente al Departamento de Comercio de EEUU, sólo en ese país los costos anuales derivados de una infraestructura inadecuada de evaluación del software oscilan entre los 22.200 y 59.500 millones de dólares. Más de la mitad de estos costos son asumidos por los usuarios finales en forma de evitar situaciones que causen error o actividades de migración. El resto de los costos son asumidos por las propias empresas desarrolladoras a través de recursos adicionales para realizar pruebas, sin una planificación y metodología previas.

• Se mencionarán algunos casos donde un fallo en el sistema informático o en el software que gestionaba un determinado servicio ha tenido consecuencias, en muchos casos desastrosas.

OTRoS tipos de Catástrofes (por FallAs de software) (2)

Explosión Cohete ARIANE-54-JUN-96

Era un cohete de uso único diseñado para colocar cohetes en órbitas geoestacionarias. 40 segundos después de iniciar vuelo, se desvió, se partió y explotó. 10 años de construcción y 7.000 M de EUROS y pérdida de 2 satélites.

A los 36,7 segundos el software de guiado inercial produce OVF al convertir un número de 64 bits (float) a 16 bits (integer). Provocó caída del sistema de backup y a los 0.05 segundos, caída del sistema principal. El sistema de control principal recibe datos de diagnós-tico que interpreta como datos de vuelo, dando:

Fuerte reacción para corregir la trayectoria; Desintegración por la fuerza aerodinámica y Autodestrucción.

Probable pérdida de jubilaciones

británicas después de 2002

Trece millones de trabajadores británicos estuvieron a punto de perder la pensión mínima de jubilación (77,45 libras por semana) porque entre 1996 y 2002 habían aportado menos de lo debido. La causa no fue un fraude, sino un error informático de Hacienda, que omitió informar oportunamente tal situación, como lo hacía habitualmente.

Al realizar ciertas modificaciones, se suspendió inadvertida-mente el esquema de alertas por el que se comunicaba a los contribuyentes si cotizaban por debajo del mínimo requerido para garantizarse la pensión mínima, de forma que el ciudadano pudiera elegir entre quedarse como estaba o aumentar a su cargo los pagos al fisco para asegurarse el mínimo (como solía optar el 4% de los afectados para aumentar los pagos. En total, 13 millones de personas cotizaron menos de lo requerido en alguno de los seis años del 'apagón informativo‘.

Fallo del interceptor

misilístico MIM-104 Patriot en Dhahran

(Arabia Saudita)25/2/91

Ese día un misil Scud iraquí alcanzó las barracas de un destacamento del ejército americano en Dhahran, Arabia Saudita, provocando la muerte de 28 soldados

americanos.

La falla al interceptar el misil enemigo fue causada por un error de software en el reloj del sistema. La batería de misiles interceptores Patriot había estado operativa por 100 horas, provocando una descompensación de un tercio de segundo al reloj interno del sistema. Para un objetivo que se desplaza tan rápido como un misil, la diferencia equivale a un error de posicionamiento de 600 metros. No detectado, alcanzó la barraca y provocó 28 muertes instantáneas. El fallo había sido informado 2 semanas antes por el fabricante israelí, que aconsejó “reinicios periódi-cos”, cuyos intervalos no fueron bien determinados por EEUU.

Código maliciosoLos códigos maliciosos pueden tener múltiples objetivos, tales como:

Extenderse por la computadora, por otras computadoras de una red o por Internet

Robar información y claves Eliminar archivos, e incluso, formatear el disco duro Mostrar publicidad invasiva (spam)

Mínimos cambios en un código malicioso, pueden hacer que ya no sea reconocido como malicioso por un programa antivirus, y es por ésta razón que existen tantas

variantes de los virus, los gusanos y otros malware.

Además, los antivirus todavía no tienen la suficiente “inteligencia” como para detectar de forma automática cualquier código malicioso nuevo.

Los distintos tipos de “Código Malicioso” comparten algunos aspectos en común: Generalmente se trata de componentes de software, desarrollados con un fin

específico En algún punto, interfieren con la operación normal del computador Suelen instalarse y ejecutarse sin el consentimiento “expreso” del usuario Requieren de un computador anfitrión para cumplir su cometido

Código malicioso Clasificación según Comportamiento del Código Malicioso – Características de

la clasificación – Auto-reproducción : Capacidad de auto-replicarse – Crecimiento : Cantidad de instancias en las que puede reproducirse y/o

auto clonarse – Parasitismo : Si necesita de otro código para ejecutarse o se ejecuta por

sí solo.

• Al margen de las características comunes que comparten los distintos tipos de “Código Malicioso”, existen diferencias fundamentales que hacen necesaria su clasificación de acuerdo a : – Origen - Daños que provocan - Formas – Función para la cual se desarrollaron

Algunos de sus comportamientos adicionales, pueden ser : removerse de la lista de procesos; búsqueda y eliminación de software anti-malware existente en el computador atacado; registro de los datos tipiados; captura de información; ubicarse de modo de poder ejecutar aún en caso de Reinicio; etc.

Algunos riesgosCRACKING

Actividad de aquella persona que:

# haciendo gala de grandes conocimientos sobre computación y

# con el impropio propósito de luchar en contra de lo que le está

prohibido

empieza a investigar la forma de bloquear

protecciones informáticas hasta lograr su objetivo,

de adentrarse en los sistemas informáticos…

pero para causar daño.

ESCANEO DE PUERTOS

concepto que se utiliza para denominar la acción de

analizar (por medio de un programa) el estado de los

puertos de una máquina conectada a una red de

comunicaciones.Es utilizado para detectar qué

servicios comunes está ofreciendo el equipo y posibles vulnerabilidades de seguridad

según los puertos abiertos. También puede llegar a

detectar el SO que está siendo ejecutado. Es utilizado por

administradores de sistemas para analizar posibles

problemas de seguridad, pero también por usuarios

malintencionados que intentan comprometer la seguridad del

equipo o la red.

EAVESDROPPINGTérmino inglés que traduci-

do al español significa escuchar secretamente, se

ha utilizado en ámbitos rela-cionados con la

seguridad, como escuchas telefónicas.

Se ha convertido en parte de la jerga habitual en

criptografía y se refiere a ataques de escuchas, tanto

sobre medios con infor-mación cifrada, como no

cifrada.

craking

Qué yquién

•Los crackers modernos usan programas propios o muchos de los que se distribuyen gratuitamente en cientos de páginas web, tales como rutinas desbloqueadoras de claves de acceso o generadores de números para que, en forma aleatoria y ejecutados automáticamente, puedan lograr vulnerar claves de accesos de los sistemas

Cómo

• Obviamente que antes que llegar a ser un cracker se debe ser un buen hacker. Asimismo se debe mencionar que no todos los hackers se convierten en crackers.

• También puede catalogarse como cracker a quien se dedica a diseñar y materializar esos pequeños programas que destruyen los sistemas de computación y/o los datos de las PC: los Virus Informáticos.

Para qué

• Los crackers pueden usar herramientas (programas) ajenas o hechas por ellos mismos, que les sirven para desencriptar información, "romper" las passwords de PC, programas y compresores de archivos (aunque estos programas en buenas manos, pueden resultar muy útiles para los técnicos o para el usuario común)… claro que para usar sobre los archivos y computadores propios.

Algunos riesgos

ExploitDel inglés to exploit,

‘explotar’ o ‘aprovechar’, es un fragmento de software,

fragmento de datos o secuencia de comandos

y/o acciones, utilizada con el fin de aprovechar una

vulnerabilidad de seguridad de un sistema de

información para conseguir un comportamiento no

deseado del mismo

FRAUDE INFORMÁTICO

Puede ser definido como engaño, acción contraria a la verdad o a la rectitud, ejercitado en base a instrumentos informáticos.

http://www.monografias.com/trabajos12/conygen/conygen.shtml#ixzz3C6Hns0JJ





exploitsEjemplos de comportamiento erróneo:

accesos por vías no autorizadas, toma de control de un sistema de cómputo, consecución de privilegios no concedidos lícitamente, consecución de ataques de denegación de servicio (DoS).

Hay que observar que el término no se circunscribe a piezas de software. Por ejemplo cuando lanzamos un ataque de ingeniería social, el ardid o discurso que preparamos para convencer a la víctima también se considera un exploit.

Los exploits pueden tomar forma en distintos tipos de software, como por ejemplo scripts, virus informáticos o gusanos informáticos.

Además, los antivirus todavía no tienen la suficiente “inteligencia” como para detectar la totalidad de los códigos maliciosos nuevos de forma automática.

HACKING

Los hackers eran estibadores informales que se pasaban todos el día bajando las maletas y bultos de las personas y familias completas que llegaban en los barcos a los puertos de EEUU. Estos trabajadores

eran infatigables, pues trabajaban muchas veces sin descansar y hasta dormían y comían entre los bultos de los muelles con el objeto de no perderse una oportunidad de ganar dinero. Asimismo, la palabra "hack”

significa "hacha" en español. Como si fuesen taladores de árboles que usan su hacha, en forma infatigable hasta llegar a tumbarlos, su tesonero propósito les mereció este apelativo.

La palabra hacker aplicada a la computación se refiere a la persona que se dedica a una tarea de investigación o desarrollo realizando esfuerzos más allá de los normales y convencionales, agregán-dole un apasionamiento que supera su normal energía. El hacker es alguien que se

apasiona por las computadoras y se dedica a ellas más allá de los límites. Los hackers tienen "un saludable sentido de curiosidad: prueban todas las cerraduras de las puertas para averiguar si

están cerradas. No abandonan un sistema que están investigando hasta que los problemas que se le presenten queden resueltos".

"Un Hacker es una persona dedicada a su arte, alguien que sigue el conocimiento hacia donde éste se dirija, alguien que se apega a la tecnología para explorarla, observarla, analizarla y modificar su funcionamiento, es alguien que es capaz de hacer algo raro con cualquier aparato electrónico y lo

hace actuar distinto, alguien que no tiene límites para la imaginación y busca información para después compartirla, es alguien al que no le interesa el dinero por lo que hace, sólo le importa las

bellezas que pueda crear con su cerebro, devorando todo lo que le produzca satisfacción y estimulación mental. Un hacker es aquel que piensa distinto y hace de ese pensamiento una

realidad con diversos métodos. Es aquel que le interesa lo nuevo y que quiere aprender a fondo lo que le interesa."

Hacker, originalmente, un aficionado a las computadoras, totalmente cautivado por la programación y la tecnología informáticas. En los ‘80, con la llegada de las computadoras personales y las redes de acceso remoto, este término adquirió connotación peyorativa y comenzó a usarse para denominar a quien se conecta a una red para invadir en secreto computadoras, y consultar o alterar los programas o los datos almacenados en las mismas. También se utiliza para referirse a alguien

que, además de programar, disfruta desmenuzando sistemas operativos y programas para ver cómo funcionan .

Algunos riesgosIngeniería Social

Se define Ingeniería Social como “todo artilugio, tretas y técnicas, realizadas a través del engaño y manipulación de las personas, para que revelen contraseñas u otra

información, más que a obtener tal información mediante debilidades

propias de defectos de diseño, implementación y

mantenimiento de un sistema”.

.

Man-in-the-middle En criptografía, un ataque

man-in-the-middle o JANUS (MitM o intermediario, en

español) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y

modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ambos ha

sido violado. El atacante debe ser capaz de

observar e interceptar mensajes entre las dos

víctimas

.

http://es.wikipedia.org/wiki/Criptograf%C3%ADa

Jamming o floodingMuchos ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por

ataques que explotan el protocolo TCP.

Innumerables hosts de Internet han sido dados de baja por el “ping de la muerte” una versión-trampa del comando ping).

Mientras que el ping normal simplemente verifica si un sistema está enlazado a la red, el ping de la muerte causa el bloqueo instantáneo del equipo. Esta vulnerabilidad ha sido ampliamente utilizada en el pasado pero, aún hoy pueden encontrarse sistemas vulnerables.

Otra acción común es la de enviar millares de e-mails sin sentido a todos los usuario posibles en forma continua, saturando los sistemas de destino.

.

Algunos riesgosIngeniería

Social

Ingeniería Social

Se dice a menudo que la única computadora segura es aquella, que nunca será encendida.

Cualquier persona con acceso a alguna parte

del sistema, sea física o electrónicamente, es un riesgo para los activos

informáticos. Por lo tanto, se puede

identificar que la base de la ingeniería social

es que los usuarios son el eslabón más débil del

sistema informático.

Ingeniería Social

Accesos Privilegios

Acceso a datos restringidos

Sistemas de Información

Hurtoy/o

ViolaciónInfor-

mática

Extorsión o Manipulación

Dinero Información Confidencial

Seguridad

Riesgos

Fiabilidad

ResguardoPerjudicaro

exponerpersonas

uorganiza-

ciones

Usuarioslegítimos

Algunos riesgosIngeniería Social (2)

Los atacantes pueden realizar ingeniería social de manera directa o indirecta.

El primero es simplemente una demanda directa, donde a un individuo se le pide

completar su tarea (divulgación) directamente. Aunque a veces tenga

menor éxito, es el método más fácil y más sincero. El individuo sabe lo que se

quiere que haga exactamente. El segundo método es ejecutado indirectamente en una situación

previamente ideada donde la víctima es sólo una parte de la misma. La misma

puede ser persuadida porque cree en las razones que se le expresan. Esto

involucra mucho más esfuerzo de la persona que ejerce la persuasión, que se

involucra teniendo un conocimiento extenso del objetivo.

Esto no significa que las situaciones aludidas no puedan estar basadas en un

hecho real. Mientras existan menos falsedades en el plan, mayor es la factibilidad de que el individuo en

cuestión juegue el papel que le fue designado.

Por otro lado, la ingeniería social se dirige hacia los individuos con menos

conocimientos, dado que los argumentos y otros factores de influencia

tienen que ser construidos generando una situación creíble que el individuo

ejecute. Sin embargo, el éxito depende mucho de cómo esté involucrada la

persona a la que se dirija el ataque. Se puede detectar que hay administradores

de sistema, analistas de seguridad, técnicos y/o personas a las que se les

confían herramientas de trabajo esenciales o de comunicación, entre

otros, que suelen ser muy afectadas por ataques diseñados por

alguien más experto.

Algunos riesgos

.

Uno de los ingenieros sociales más famosos en EEUU es Kevin MITNICK, que fue liberado en 2000, tras 5 años de estar en prisión por haber sustraído

información confidencial al FBI.

Mitnick comenta que la ingeniería social se basa en los siguientes cuatro principios que se presentan en las personas atacadas:

Todos queremos ayudar.

El ser humano siente necesidad de

apoyar las actividades de otras personas, por lo que

es muy difícil encontrar alguien que se niegue a

compartir información, si ésta fue solicitada con el pretexto de ayudar.

La primera actitud es siempre de

confianza hacia el otro.

Rara vez los seres humanos preguntan

para qué se está solicitando la información:

básicamente se da por entendido que el uso de la misma será siempre legal.

No nos gusta decir que no.

Aunque haya desconfianza hacia

la persona que solicita la

información o bien, no se esté totalmente

convencido de proporcionarla, al

ser humano le será difícil negar el

acceso a la misma.

A todos nos gusta que nos alaben. A las personas les gusta siempre que

alimenten su ego, por lo tanto, cuando se

proporciona la información,

generalmente se recibe un estímulo sentimental, que

simula generar una percepción distinta por parte de quien

solicita la información.

Ingeniería social - tipos

Ingeniería social.

Mecanismos para contrarrestar la ingeniería social: La mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido común y no divulgando información que podría poner en

peligro la seguridad de los activos informáticos. Ante ataques basados en ingeniería social, cualquier persona y organización se encuentran expuestos, y la mejor forma de contrarrestarlo es conociendo los métodos de ingeniería que se aplicarán, a ello, en el ámbito tecnológico se lo conoce como Ingeniería

Inversa. La ingeniería inversa es el conjunto de técnicas y procedimientos utilizados para descubrir el diseño de un producto o proceso.

Conocer cuáles son las técnicas empleadas por los atacantes, difundirlas y prepararse para enfrentar nuevas técnicas de ataques es el mejor mecanismo de protección. Para poder establecer mecanismos formales, debe implementarse un Plan de Ingeniería Social Inversa, tomando en consideración tanto los ataques

directos a personas, como también los ataques a través de las computadoras. A continuación se explican los principios aplicables en cada uno de ellos.

1. Ingeniería social basada en personas. Se presentan algunos elementos a considerar:a. Conocer los procesos de ingeniería social, sus principios, sus técnicas, la manipulación y la explotación de los sentimientos y emociones de las personas. De esta forma se podrá anticipar a los riesgos de los ataques. b. Informar a las personas sobre estas técnicas y de cómo pueden ser presa de la ingeniería social, mostrar

ejemplos para concientizar. c. Crear la cultura de la cautela, desconfianza y prudencia ante todas las situaciones. Los atacantes que usan la ingeniería social prefieren cambiar de víctima cuando se enfrentan a la resistencia educada. Sin importar el

tipo de información solicitada, se aconseja que se investigue la identidad de a otra persona al solicitar información precisa, verificar la información proporcionada y preguntarse qué importancia tiene la información

requerida. d. Las personas que tienen responsabilidad sobre activos informáticos deben conocer cuál es el momento

para utilizarlos, y como hacerlo de manera eficiente.e. Invertir más presupuesto de seguridad en educación. Se deben aplicar recursos en capacitación, difusión y

creación de cultura aunque se gaste menos en tecnología. Será más redituable la inversión.f. Establecer un código interno orientado hacia valores últimos.

Ingeniería social La base para contrarrestar la ingeniería social es crear una responsabilidad en los usuarios.

En términos administrativos, esta responsabilidad toma el nombre accountability que se entiende como la cultura de definir claramente los resultados esperados dentro de una organización, las metas a alcanzar por toda la compañía y comunicarlas claramente a todos los empleados de la misma.

En este sentido, el empleado de una organización debe presentar una actitud proactiva, ser responsable de sus pensamientos, sentimientos, acciones y resultados para dirigir su destino. El verdadero valor de un empleado proviene de la habilidad de influenciar los eventos y los resultados antes de la situación determinada. Del mismo modo, la organización también tiene responsabilidad, ya que se recomienda que al implementar tecnología de información y comunicación las organizaciones deben de procurar un cambio organizacional previo, durante y después de la implementación, buena disposición del personal hacia el proyecto, así como la óptima capacitación para manejarla, generando el éxito de la misma al aplicarla de manera correcta.

2. Ingeniería social basada en computadoras. Para detectar si un medio electrónico es legal o no, se deben tomar en cuenta los siguientes aspectos.

a. Solicitud de Información. Ninguna empresa solicita vía electrónica contraseñas, nombres de usuario, números de la Seguridad Social u otra información personal.

b. Urgencia. Los mensajes tienen un tono de urgencia cuyo objetivo es que se responda inmediatamente, casi sin pensar.

c. Personalización del mensaje. Los mensajes de correo electrónico de Phishing suelen enviarse de forma masiva y, a menudo, no contienen su nombre o apellido, por lo que no van

personalizados. Las empresas de las que somos clientes, conocen nuestro nombre.

Algunos riesgosPacket Sniffing (o

analizador de paquetes)Un “analizador de paquetes” es un programa de captura de las

tramas de una red de computadoras.

Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable

coaxial, cable de par trenzado, fibra óptica, etc.)

sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él.

.

Phishing (o suplantación de

identidad) es un término informático que denomina un

modelo de abuso informático que se comete mediante el uso de

algún tipo de Ingeniería social y caracterizado por intentar adquirir información

confidencial de forma fraudulenta (puede ser una contraseña o información detallada sobre

tarjetas de crédito u otra información bancaria).

El cibercriminal, conocido como phisher, se hace pasar por una

persona o empresa de confianza, en una aparente comunicación

electrónica oficial (por lo común, correo electrónico, o un sistema

de mensajería instantánea, o incluso mediante llamadas

telefónicas).

Cómo

Para conseguir lo expuesto el analizador pone la tarjeta de red en un estado conocido como "modo promiscuo" en el cual le indica al computador que -en la Capa de Enlace de Datos- deje de ignorar todo el tráfico no destinado hacia él (y les preste atención a las tramas no destinadas a la dirección MAC de su tarjeta NIC Network Interface Card): de esta manera se puede capturar (sniff, "olfatear") todo el tráfico que viaja por la red.Cuando la NIC esté en este estado, se precisarán los privilegios administrativos o de root, y de ésta manera, la computadora será capaz de ver todos los datos transmitidos. El programa comienza a hacer una lectura de toda la información en-trante al PC por la tarjeta de red. Así el sniffer conseguirá observar:

* el equipo de origen,

* el equipo de destino,

* número de puerto, etc

Usos

Los analizadores de paquetes tienen diversos usos:# algunos saludables, como monitorear redes para detectar y analizar fallos, o para realizar ingeniería inversa en protocolos de red para dotarlos de mayor seguridad, # pero también es habitual su uso para fines maliciosos, como robar contraseñas, interceptar correos electrónicos, espiar conversaciones de chat, etc y ambas situaciones son plenamente factibles pues, en resumen, con tales instrumentos se puede ver toda la informa-ción intercambiada entre dos computadoras.

Packet Sniffing (o analizador de

paquetes)

http://es.wikipedia.org/wiki/Modo_promiscuo



Phi

shi

ng

El phishing tradicional intentó disimularse a sí mismo con diferentes técnicas más o menos elaboradas.Durante un tiempo, intentaron utilizar siempre nombres de dominios muy parecidos a los que intentaban suplantar. Luego, aprovechaban JavaScript para ocultar la barra del navegador (Internet Explorer 6 o +) con la URL real del señuelo (banco) .Para ello, superponían una imagen emergente en el punto exacto para que se confundiera con el propio.

Experimentaron con diferentes vulnerabilidades en el navegador, para que el “ancla” en HTML simulara la URL real, pero que realmente nos llevara a otra web al hacer click sobre un enlace. Otras técnicas que se observaron durante un tiempo fueron los phishings bajo SSL (Secure Socket Layer). Los phishings de hoy no se diferencian mucho de los de hace 10 años, pero han aparecido otros dispositivos (móviles) para consultar web , multiplicando los riesgos…

Phishing

PhishingEn AGO-2013 se han recibido al menos una decena de denuncias relacionadas a correos falsos de Mercado Pago y Banco Francés alojados en un sitio argentino.En el caso de Mercado Pago el asunto del correo falso es:”Cuenta Suspendida” y era el siguiente:

PhishingEl del Banco Francés hablaba de “Sistema de Seguridad” y era:

PhishingComo es fácil apreciar, en ambos casos los enlaces hacen referencia a:

http://www.banca%5BELIMINADO%5D.com.ar/fotos/MercadoPago/ y http://www.banca%5BELIMINADO%5D.com.ar/fotos/Frances/,

lo que indica que el sitio ha sido vulnerado (o se ha creado con fines espurios) y se han alojado varios casos de sitios financieros y bancarios falsos en el mismo servidor.Efectivamente, al revisar el sitio pudieron encontrarse los sitios falsos, como el siguiente de MercadoPago:

PhishingResulta mny interesante lo encontrado en el servidor, que había sido manipulado no por un delincuente, sino por varios, en forma sucesiva.Inicialmente se hizo una revisión del directorio “/Fotos” donde se habían alojado las direcciones de los sitios falsos:

Phishing

Aquí pueden verse los directorios y archivos donde se han alojado los sitios falsos, los archivos ZIP/RAR con información que analizaremos seguidamente y archivos PHP y Phyton que son Shells para controlar el servidor y que, evidentemente, han sido subidas por los delincuentes para hacer su “labor”.

PhishingAl descargar el archivo “MercadoPago.zip” puede verse lo siguiente:

Este archivo había sido subido al servidor y posteriormente descomprimido, dando origen a

la carpeta “MercadoPago” conteniendo todo el sitio homónimo ya visto.

PhishingEn otro de los archivos se puede encontrar el caso del Banco Francés y, de igual

manera, el correo del delincuente:

PhishingY, en un tercer ZIP podemos encontrar algo aún más jugoso, que son los datos

robados por los delincuentes, correspondientes a los datos de acceso (usuario y contraseña) del Banco Francés.

Analizando el archivo “chupala.txt” (sic), ha podido encontrarse datos falsos (ingresados por personas que se percataron del engaño) y datos reales (como los de la imagen siguiente) que habían sido ingresados por víctimas que no pudieron darse cuenta de que ingresaron a un sitio falso del Banco.

Eliminando los datos repetidos y los falsos, se han podido hallar 67 juegos de datos reales ingresados en UN DÍA, lo que da una idea aproximada del éxito de los delincuentes con estas estafas.

PhishingEn AGO/2013 se ha denunciado el caso de nuevos correos falsos que decían provenir

de Apple, reclamando confirmar el Apple -Id del destinatario.|

PhishingComo se observa, el enlace lleva al sitio ”oxfordinchina.com” pero el atacante ha

agregado varios subdominios, delante, para distraer a la víctima y ver facilitado el engaño.

https:appleid.apple.com.cgi-bin.webojects.myappleid.woa.wa.directtosignin

Si el receptor acciona el enlace, en este caso, llega a esta página falsa:

PhishingEn caso de ingresar el Apple-Id y la contraseña, la víctima del engaño es conducida a

otro formulario para completar toda la información que permitirá el uso de su identidad y tarjeta de crédito.

PhishingUna vez que se completen los datos solicitados, éstos serán enviados al delincuente

por correo electrónico.

PhishingY luego, el usuario es redirigido a la página auténtica de Apple, para evitar despertar

sospechas respecto a haber enviado sus datos a algún otro sitio.

Redirigido a página real de Apple,

PhishingEl Phishing ha afectado a 37,3 millones de personas durante 2013…

Este número ha crecido un 87% respecto al año anterior y los mismos tuvieron como principales objetivos a E.E.U.U., el Reino Unido, Alemania, Rusia, India, Francia, Italia, China y Ucrania, y estos países representaron el 64% de todas las víctimas de phishing del período.

Phishing• Yahoo!, Facebook, Google y Amazon son las principales víctimas de los delincuentes. Los servicios de juegos en línea, los sistemas de pago, y los sitios web de bancos y otras entidades financieras, son los objetivos más comunes; así como los servicios de correos electrónicos, redes sociales, tiendas online, salas

de subastas, blogs, páginas web de empresas de TI y páginas web de empresas de telecomunicaciones, etc.

Algunos riesgosPIRATERIA DEL SOFTWAREEs el problema legal más grande que afecta

a la industria informática y consiste en la copia o uso ilegal de los programas.

La piratería es un problema enorme debido a que es muy fácil de realizar. En la mayor

parte de los casos, robar un programa no es más difícil de lo que resulta grabar un disco

compacto de música que se ha pedido prestado.

Los piratas de software renuncian al derecho de recibir actualizaciones y soporte técnico, pero obtienen el uso del programa

sin pagar por el mismo. Muchos programas de software comercial, software

que debe comprarse antes de usarlo, cuesta poco, (20/50 u$s), pero muchas

aplicaciones cuestan entre 100/500 u$s. Las aplicaciones muy especializadas o

complejas pueden costar varios miles de dólares

Snooping (y downloading)

En un contexto de seguridad, es acceso no autorizado a datos pertenecientes a otra persona o cía (y su eventual captura). Es

similar al eavesdropping , pero no limitado a ganar acceso durante la transmisión.

Abarca tanto la observación casual de un e-mail que aparece en la pantalla de otra

computadora u observar lo que alguien está tipiando. Otros snooping hacen usos más sofisticados de programas remotos para

monitorear la actividad de otro computador o dispositivo de red.

Piratería del software El software es pirateado en muchas formas. El método más simple es copiar el

software de sus disquetes o discos compactos originales. Los usuarios en una red pueden copiar con facilidad ciertos tipos de software en forma directa del servidor, o incluso intercambiar programas a través del sistema de correo electrónico de su organización.

•Sin embargo Internet se ha convertido en el semillero de piratería más grande, ya que los piratas distribuyen programas por correo o a través de sitios que son guaridas de ladrones en la Word Wide Web.

• La piratería de software es atentar contra los derechos de la propiedad intelectual.

•Se produce la piratería cuando:

•Un individuo o entidad ofrece copias ilegales, en CD – R o CD – RW, aplicaciones descargables o números de serie gratis, a cambio de dinero o mediante trueque.

•Un individuo proporciona un producto educativo sin autorización o a particulares o empresas no autorizados.

•Un individuo instala o utiliza el software sin una licencia debidamente autorizada, o cuando lo hace en más sistemas de los que está autorizado.

Algunos riesgosSpoofing

En términos de seguridad de redes, hace referencia al uso de

técnicas de suplantación de identidad, generalmente con

usos maliciosos o de investigación.

Se pueden clasificar los ataques de spoofing en función de la tecnología que usan. Entre

ellos tenemos * IP spoofing,

* ARP spoofing, * DNS spoofing, * web spoofing o * e-mail spoofing

aunque en general se puede englobar dentro de spoofing a

cualquier tecnología de red susceptible de sufrir

suplantación de identidad.

Trashing / CardingSon amenazas humanas. El

Trashing, consiste en rastrear en las papeleras en busca de información, contraseñas o

directorios, Entre las personas que

dedicaban sus esfuerzos a romper la seguridad como reto intelectual hubo un grupo (con no tan buenas intenciones) que trabajaba para conseguir una tarjeta de crédito ajena. Así

nació:el Carding , es el uso (o generación) ilegitimo de las

tarjetas de crédito (o sus números), pertenecientes a otras

personas con el fin de obtener los bienes realizando fraude con ellas. Se relaciona mucho con el Hacking y el Cracking, mediante

los cuales se consiguen los números de las tarjetas.

SPOOFINGDNS poisoning: El concepto de envenenamiento de la cache DNS es un tipo de SPOOFING muy simple. El servidor DNS del usuario, envía una petición a un DNS reconocido (1), pregun-tando por la IP que coincida con el nombre solicitado (YAHOO.COM). Pero ¿qué sucede si un atacante contesta suplantando al DNS autoritativo y devuelve una IP falsa?

Si esto sucede, el DNS del usuario devolverá al mismo una dirección IP falsa asociada al nombre que

el usuario solicita (2), dirigiendo su petición a un servidor que no es el que el usuario quiere acceder (3), es más, la entrada falsa obtenida

permanecerá en la cache del

servidor DNS durante un tiempo determinado en el campo TTL enviado por el atacante, para ofrecer la misma

respuesta a todos aquellos usuarios que quieran acceder al mismo nombre.

Data diddlingLas razones para ejercitar

Data Diddling pueden ser con propósito de fraude o de dejar

fuera de servicio a un competidor, y sus autores pueden ser Insiders

o Outsiders.

Son innumerables los casos de este tipo:

empleados bancarios (o externos) que crean falsas cuentas para derivar fondos de otras cuentas,

estudiantes que modifican calificaciones de exámenes, o

contribuyentes que pagan para que se les anule deudas por impuestos en el sistema municipal.

Múltiples web sites han sido víctimas del cambio de sus home page por imágenes terroristas o humorísticas, o el reemplazo de versiones de software por otros con el mismo nombre pero que

incorporan código malicioso (virus, troyanos).

.

Algunos riesgos

Sabotaje informático El término sabotaje informático comprende

a todas aquellas conductas dirigidas a causar daños en el hardware o en el

software de un sistema. Los métodos utilizados para causar

destrozos en los sistemas informáticos son de índole muy variada y han ido

evolucionando hacia técnicas cada vez más sofisticadas y de difícil detección.

Básicamente, se pueden diferenciar dos grupos de casos: por un lado, las

conductas dirigidas a causar destrozos físicos y, por el otro, los métodos dirigidos

a causar daños lógicos

sAbotaje informático (1)

Técnicas: Las técnicas que permiten cometer sabotajes informáticos son:

Virus. Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse hacia otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya (acceso mediante identidad encubierta).

Gusanos. Se fabrican en forma análoga al virus con miras a infiltrarlos en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero son diferentes de los virus porque no pueden regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus; por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita.

sAbotaje informático (2)

Bomba lógica o cronológica. Exige conocimientos especializados ya que requiere la programación de

la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son

difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño.

Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente.

La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar donde se encuentra ubicada la bomba.

Seguridad física (1) De acuerdo con los teóricos, existen 4 categorías de seguridad física: Las obstrucciones físicas La constituyen puertas blindadas, paredes

reforzadas, etc. Supone tener una posición fuerte, de ventaja y cuidado para aquellos que quisieran vulnerarla. Pretende dificultar el ingreso a cualquier intruso que, sin autorización, quisiera tener acceso a los bienes protegidos.

Las técnicas de vigilancia: como aspecto complementario, es un elemento clave para alertar cualquier movimiento que se percibiera en el perímetro de acceso a los bienes protegidos. El concepto de monitoreo y vigilancia y alarma (seguridad electrónica) se materializan como técnicas de vigilancia que establecen nuevos procesos a cumplimentar. No es un componente accesorio, sino el sistema nervioso de la edificación.

Los sistemas de inteligencia: surgen para analizar la información resultada de los sistemas de monitoreo y de reconocimiento del entorno protegido, realizando estimaciones para obtener ventajas tácticas y operativas.

La guardia humana: los especialistas en seguridad física son el componente de inteligencia humana y de efectividad operacional ante una amenaza. Es quien actúa y decide ante una alarma o un escenario de falla, con el fin de conjurar el peligro o vulnerabilidad que pueda ser detectada. Representa al mismo tiempo, la mayor fortaleza del sistema de protección, pero también su peor enemigo.

Algunos riesgosHijacking

significa "secuestro" en inglés y en el ámbito

informático hace referencia a toda técnica ilegal que lleve

consigo el adueñarse o robar algo (generalmente

información) por parte de un atacante.

Por tanto, es un concepto muy abierto y que puede

aplicarse a varios ámbitos, de esta manera podemos

encontramos con el secuestro de conexiones de red, sesiones de terminal, módems, etc. y variados

otros servicios informáticos.

DEFACEMENT (EJEMPLOS)Razones por la que estos ataques son exitosos y

quienes deberían ser los responsables de minimizar el éxito frente a un ataque de este

tipo:Acceso a los servidores web (Redes)Error de programación (Desarrollo)Bug en el propio servidor (Redes)Mala administración del servidor y del sitio web (Redes, Desarrollo)La experiencia también ha hecho que cambie la referencia al término "evitar" por "minimizar" ya que en Seguridad Informática es más realista realizar acciones para minimizar los riesgos que intentar evitarlos. La razón fundamental por la que no se debe usar el término "evitar" es porque de hacerlo pensaremos que nuestras acciones nos harán invulnerables a estos ataques, lo cual es simplemente una utopía.

Técnicas de ataques de DefacementXSS (Cross Site Scripting)HTML Injection SimpleSQL InjectionRFI (Remote File Inclusion)

Muchos de los ataques de Defacement se realizan a sitios web con errores de programación y sitios con medio y bajo nivel de seguridad a nivel de programación y es justamente la técnica de SQL Injection la que más se usa para tener acceso a los servidores

Como proteger lo servidores web de los ataques de Defacement?Instalar un cortafuegos para la protección perimetral en la empresa.Instalar un cortuegos de aplicación para la protección de los servidores web.Reforzar las contraseñas de acceso a los servidores web usando contraseñas seguras (combinar letras, números, mayúsculas y caracteres especiales).Revisar el código html que es subido a los sitios web. En caso de contar con servicios de terceros (p.e. diseñador web freelance) crear una política de verificación de los archivos antes de ponerlos en producción para evitar la incrustación de código malicioso.Mantener actualizado los servidores web con los últimos parches disponibles. (Corrección de vulnerabilidades al servidor web Apache, IIS, etc.)Mantener actualizado las aplicaciones web propias y/o de terceros que están alojadas en nuestro sitio web (p.e. Joomla, OpenWebmail, Horde IMP, etc.).Implementar una política de control de calidad y seguridad del código de los programas o los sistemas desarrollados internamente.

http://www.innovare.pe/component/content/article/8-sophos/2-sophos-unified-threat-management

http://www.astaro.com/es-es/soluciones/web-application-security

http://goo.gl/aA23Y

Política de Seguridad de la Informaciónpara el Sector Público

Decisión Administrativa 669/2004

Contenido

Seguridad Informática y Seguridad de la Información

Conceptos Generales, Caracteres, Riesgos

Decisión AdministrativaIniciativa en la APNContenidoComité de SeguridadResponsable de Seguridad

Modelo de Política¿Por qué utilizar un estándar internacional?¿Por qué basarse en la norma ISO/IRAM 17799?Estructura

Implicancias legales

Presentación SIGEN

Conclusión

Próximos pasos

Decisión Administrativa

Decisión Administrativa – Iniciativa en la APN

Surge la necesidad de que los Organismos cuenten con una Política de Seguridad escrita.

Se conforma un grupo de trabajo para la redacción de un Modelo de Política de Seguridad.

Se acuerda basarse en la norma ISO/IRAM 17799

Septiembre 2003La ONTI convoca a distintos Organismos de la Administración Pública para conocer sus opiniones sobre estrategias de seguridad.


Se publicó la página de Políticas de ArCERT

www.arcert.gov.ar/politica

Se comienza la difusión de la norma y el Modelo

Se redacta el Modelo y se somete a la consideración de los Organismos Nacionales.

Diciembre 2004La Jefatura de Gabinete de Ministros aprueba la DA 669/2004.


Se publicó la página de Políticas de ArCERT que, desde la resolucion JGM N° 580/2011 se denomina

ICIC-CERT (Infraestructuras Críticas de Información y Ciberseguridad - Coordinación de Emergencias en Redes

Teleinformáticas).

Los objetivos del CERT (Equipo de Respuesta ante Emergencias Teleinformáticas) se basan en la coordinación de emergencias de incidentes informáticos. Entre sus acciones cuenta con:

• Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas, técnicas de protección y defensa.

• Promover la coordinación entre las unidades de administración de redes informáticas del Sector Público Nacional, para la prevención, detección, manejo y recopilación de información sobre incidentes de seguridad

• Centralizar los reportes sobre incidentes de seguridad ocurridos en redes teleinformáticas del Sector Público Nacional que hubieren adherido al Programa y facilitar el intercambio de información para afrontarlos

Decisión Administrativa - Contenido

¿ Qué ?

• Dictar o adecuar la Política de Seguridad de la Información.

• Conformar un Comité de Seguridad de la Información.

• Asignar las responsabilidades en materia de Seguridad de la Información.


¿ Quiénes ? Ley 24.156- Art. 8° - Inc. a) y c)

• Administración Nacional.• La Administración Central.• Los Organismos Descentralizados (incluidos los

de la Seguridad Social).

• Entes Públicos excluidos del punto anterior• Cualquier Organización estatal no empresarial con autarquía financiera, personería jurídica y patrimonio propio, donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de decisiones.


¿ Cuándo ?

Dentro de los 180 días hábiles de aprobado el Modelo de Política.


¿ Cómo ?

En base al Modelo de Política de Seguridad a ser aprobada por la Subsecretaría de la Gestión Pública

Las máximas autoridades de los Organismos deberán conformar, en

sus ámbitos, un Comité de Seguridad de la Información integrado por

representantes de las Direcciones Nacionales o Generales o equivalentes

del Organismo.

Decisión Administrativa – Comité de Seguridad


Objetivos Políticos

• Aprobar las principales iniciativas para incrementar la seguridad de la información.

• Proponer las responsabilidades generales en materia de seguridad de la información

• Garantizar que la seguridad sea parte del proceso de planificación de la información.

• Promover la difusión y apoyo a la seguridad de la información dentro del Organismo.


Objetivos Prácticos

• Revisar y proponer la Política de Seguridad de la Información.

• Acordar y aprobar metodologías y procesos específicos.

• Evaluar y coordinar la implementación de controles específicos.

• Coordinar el proceso de administración de la continuidad de la operatoria del Organismo.

• Monitorear cambios significativos en los riesgos.

• Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad

Coordinador del Comité de Seguridad

El Comité de Seguridad de la Información, será coordinado por el Subsecretario o su equivalente en cada área Ministerial o Secretaría de la Presidencia de la Nación o por el funcionario designado por las máximas autoridades de cada organismo descentralizado, que tenga a su cargo las áreas de apoyo.


Responsabilidades sobre la Seguridad

Las máximas autoridades de los Organismos deberán asignar las funciones relativas a la seguridad de sus sistemas de información a un funcionario de su planta dentro del plazo de CIENTO OCHENTA (180) días hábiles de aprobada la Política de Seguridad Modelo.


El Modelo de Política

Modelo de Política – ¿ Por qué utilizar un estándar internacional ?

Mes 1A la hora de desarrollar una política o norma a ser implementada para estandarizar los procesos y controles, es recomendable:

• Indagar sobre los diferentes estándares que ofrece el mercado.

• Evaluar la entidad u organización emisora de los estándares en cuanto a su trayectoria, reconocimiento en el dictado de estándares, etc.

• Investigar sobre las implementaciones efectuadas del estándar y sus resultados.

• Analizar el contenido de los estándares con una visión técnica.

• Determinar la aplicabilidad de los estándares al modelo de realidad propio.

• Seleccionar el estándar que mejor cumple con las expectativas.

• Alinearse al estándar seleccionado.

Modelo de Política – ¿ Por qué basarse en la norma ISO/IRAM 17799 ?

Es por ello que el Modelo de Política de Seguridad de la Información se basa en la norma ISO/IRAM 17799 –

“Códigos de buenas prácticas de seguridad”.

Esto NO implica que se requiera la certificación por parte de los Organismos en dicha norma.

Aumento de los niveles de seguridad en las Organizaciones Planificación de actividades Mejora continua Posicionamiento estratégico Cumplimiento de normativas y reglamentaciones Posicionamiento en un esquema comparativo en materia de

seguridad con otras organizaciones

¿Qué es una Política de Seguridad?

Una política de seguridad informática es una forma de comunicarse con los

usuarios y los gerentes, que establece el canal formal de actuación del personal,

en relación con los recursos y servicios informáticos importantes de la

organización.

No es una descripción técnica de mecanismos de seguridad, ni una expresión

legal que involucre sanciones a conductas de los empleados (aunque puede incluirlas), sino que más bien es una descripción de los que deseamos proteger y el por qué de ello

Cada PSI es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios.

Tal invitación , debe concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.

Elementos de una Política de Seguridad

Elementos de una Política de Seguridad Informática

Una PSI debe orientar las decisiones que se toman en relación con la seguridad., por tanto, requiere una disposición de cada uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.

Las PSI deben considerar entre otros, los siguientes elementos:

Alcance de la políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.

Objetivos de la política y descripción clara de los elementos involucrados en su definición.

Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización.

Requerimientos mínimos? para configuración de la seguridad de los sistemas que cobija el alcance de la política.

Definición de violaciones y de las consecuencias del no cumplimiento de la política.

Responsabilidades de los usuarios con respecto a la información a la que él o ella tiene acceso.

Las PSI deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones, transmitir por qué son importantes éstos u otros recursos o servicios. De igual forma, las PSI establecen las expectativas de la organización en relación con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compañía. Deben mantener un lenguaje común libre de tecnicismos y términos legales que impidan una comprensión clara de las mismas, sin sacrificar su precisión y formalidad dentro de la empresa. Por otro lado, la política de debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud que pasará cuando algo suceda; no es una sentencia obligatoria de la ley. [4, pág.383] Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios entre otros.

Elementos de una Política de Seguridad (2) Las PSI deben ofrecer explicaciones comprensibles sobre por qué deben tomarse

ciertas decisiones, transmitir por qué son importantes éstos u otros recursos o servicios.

De igual forma, las PSI establecen las expectativas de la organización en relación con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compañía. Deben mantener un lenguaje común libre de tecnicismos y términos legales que impidan una comprensión clara de las mismas, sin sacrificar su precisión y formalidad dentro de la empresa.

Por otro lado, la política de debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud que pasará cuando algo suceda; no es una sentencia obligatoria de la ley.

Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios entre otros.

3 Capítulos de Introducción

• Introducción• Términos y definiciones• Política de Seguridad de la información

9 Capítulos de Contenido de las distintas áreas

• Organización de la Seguridad• Clasificación y Control de Activos• Seguridad del Personal• Seguridad Física y Ambiental• Gestión de Comunicaciones y Operaciones• Control de Accesos• Desarrollo y Mantenimiento de Sistemas• Administración de la Continuidad de las Actividades del

Organismo• Cumplimiento

Modelo de Política de Seguridad - Estructura

Contenido de los 3 “Capítulos de Introducción”

1. Introducción 1.1 Alcance2. Términos y definiciones 2.1 Seguridad de la Información 2.2 Evaluación de Riesgos 2.3 Administración de Riesgos 2.4 Comité de Seguridad de la Información 2.5 Responsable de Seguridad Informática 2.6 Incidentes de Seguridad3. Política de Seguridad de la información

3.1 Aspectos Generales3.2 Sanciones previstas por Incumplimiento

Modelo de Política – Estructura (1)

Contenido de los 9 Capítulos de “Contenido de las distintas áreas”

4. ORGANIZACIÓN DE LA SEGURIDAD

4.1. Infraestructura de la Seguridad de la Información .

4.1.1. Comité de Seguridad de la Información 4.1.2.Asignación de Responsabilidades en Materia de Seguridad de

la Información .4.1.3. Proceso de Autorización para Instalaciones de Procesamiento

de Información 4.1.4. Asesoramiento Especializado en Materia de Seguridad de la

Información 4.1.5. Cooperación entre Organismos.4.1.6. Revisión Independiente de la Seguridad de la Información


Contenido de los 9 Capítulos de “Contenido de las distintas áreas” (cont.)

4. ORGANIZACIÓN DE LA SEGURIDAD (cont.)

4.2. Seguridad Frente al Acceso por Parte de Terceros .4.2.1. Identificación de Riesgos del Acceso de Terceras Partes 4.2.2. Requerimientos de Seguridad en Contratos o Acuerdos

con Terceros4.3. Tercerización 4.3.1. Requerimientos de Seguridad en Contratos de

Tercerización .

5. CLASIFICACIÓN Y CONTROL DE ACTIVOS

5.1. Inventario de activos5.2. Clasificación de la información 5.3. Rotulado de la Información .



6. SEGURIDAD DEL PERSONAL

6.1. Seguridad en la Definición de Puestos de Trabajo y la Asignación de Recursos

6.1.1. Incorporación de la Seguridad en los Puestos de Trabajo

6.1.2. Control y Política del Personal 6.1.3. Compromiso de Confidencialidad6.1.4. Términos y Condiciones de Empleo

6.2. Capacitación del Usuario 6.2.1. Formación y Capacitación en Materia de Seguridad

de la Información

6.3. Respuesta a Incidentes y Anomalías en Materia de Seguridad

6.3.1. Comunicación de Incidentes Relativos a la Seguridad .

6.3.2. Comunicación de Debilidades en Materia de Seguridad

6.3.3. Comunicación de Anomalías del Software6.3.4. Aprendiendo de lo s Incidentes 6.3.5. Procesos Disciplinarios



7. SEGURIDAD FÍSICA Y AMBIENTAL .

7.1. Perímetro de Seguridad Física .7.2. Controles de Acceso Físico 7.3. Protección de Oficinas, Recintos e Instalaciones 7.4. Desarrollo de Tareas en Áreas Protegidas7.5. Aislamiento de las Áreas de Recepción y Distribución .7.6. Ubicación y Protección del Equipamiento y Copias de

Seguridad 7.7. Suministros de Energía .7.8. Seguridad del Cableado 7.9. Mantenimiento de Equipos7.10. Seguridad de los Equipos Fuera de las Instalaciones.7.11. Desafectación o Reutilización Segura de los Equipos. .7.12. Políticas de Escritorios y Pantallas Limpias.7.13. Retiro de los Bienes



8. GESTIÓN DE COMUNICACIONES Y OPERACIONES.

8.1. Procedimientos y Responsabilidades Operativas8.1.1. Documentación de los Procedimientos Operativos.8.1.2. Control de Cambios en las Operaciones.8.1.3. Procedimientos de Manejo de Incidentes .8.1.4. Separación de Funciones8.1.5. Separación entre Instalaciones de Desarrollo e Instalaciones

Operativas .8.1.6. Gestión de Instalaciones Externas

8.2.Planificación y Aprobación de Sistemas.8.2.1. Planificación de la Capacidad .8.2.2. Aprobación del Sistema

8.3. Protección Contra Software Malicioso 8.3.1.Controles Contra Software Malicioso

8.4. Mantenimiento 8.4.1. Resguardo de la Información 8.4.2.Registro de Actividades del Personal Operativo .8.4.3. Registro de Fallas



8. GESTIÓN DE COMUNICACIONES Y OPERACIONES. (cont)

8.5. Administración de la Red 8.5.1. Controles de Redes .

8.6. Administración y Seguridad de los Medios de Almacenamiento .

8.6.1. Administración de Medios Informáticos Removibles.8.6.2.Eliminación de Medios de Información8.6.3.Procedimientos de Manejo de la Información .8.6.4.Seguridad de la Documentación del Sistema .

8.7.Intercambios de Información y Software.8.7.1.Acuerdos de Intercambio de Información y Software8.7.2.Seguridad de los Medios en Tránsito 8.7.3.Seguridad del Gobierno Electrónico8.7.4.Seguridad del Correo Electrónico

8.7.4.1.Riesgos de Seguridad .8.7.4.2.Política de Correo Electrónico.

8.7.5.Seguridad de los Sistemas Electrónicos de Oficina8.7.6.Sistemas de Acceso Público .8.7.7.Otras Formas de Intercambio de Información.



9. CONTROL DE ACCESOS

9.1.Requerimientos para el Control de Acceso.9.1.1.Política de Control de Accesos9.1.2.Reglas de Control de Acceso

9.2. Administración de Accesos de Usuarios 9.2.1.Registración de Usuarios 9.2.2.Administración de Privilegios.9.2.3.Administración de Contraseñas de Usuario 9.2.4.Administración de Contraseñas Críticas .9.2.5.Revisión de Derechos de Acceso de Usuarios .

9.3. Responsabilidades del Usuario 9.3.1.Uso de Contraseñas 9.3.2.Equipos Desatendidos en Áreas de Usuarios.



9.CONTROL DE ACCESOS (cont)9.4 .Control de Acceso a la Red.

9.4.1. Política de Utilización de los Servicios de Red .9.4.2. Camino Forzado 9.4.3. Autenticación de Usuarios para Conexiones

Externas .9.4.4. Autenticación de Nodos.9.4.5. Protección de los Puertos (Ports) de Diagnóstico

Remoto .9.4.6. Subdivisión de Redes 9.4.7. Acceso a Internet.9.4.8. Control de Conexión a la Red .9.4.9. Control de Ruteo de Red.9.4.10.Seguridad de los Servicios de Red .

9.5.Control de Acceso al Sistema Operativo.9.5.1. Identificación Automática de Terminales.9.5.2. Procedimientos de Conexión de Terminales.9.5.3. Identificación y Autenticación de los Usuarios 9.5.4. Sistema de Administración de Contraseñas .9.5.5. Uso de Utilitarios de Sistema 9.5.6. Alarmas Silenciosas para la Protección de los Usuarios 9.5.7. Desconexión de Terminales por Tiempo Muerto 9.5.8. Limitación del Horario de Conexión.



9. CONTROL DE ACCESOS (cont)

9.6.Control de Acceso a las Aplicaciones .9.6.1. Restricción del Acceso a la Información9.6.2. Aislamiento de los Sistemas Sensibles .

9.7. Monitoreo del Acceso y Uso de los Sistemas.9.7.1. Registro de Eventos

9.7.2. Monitoreo del Uso de los Sistemas .9.7.2.1. Procedimientos y Áreas de Riesgo .9.7.2.2. Factores de Riesgo .9.7.2.3. Registro y Revisión de Eventos

9.7.3. Sincronización de Relojes .

9.8. Computación Móvil y Trabajo Remoto.9.8.1. Computación Móvil 9.8.2. Trabajo Remoto .



10.DESARROLLO Y MANTENIMIENTO DE SISTEMAS10.1.Requerimientos de Seguridad de los Sistemas

10.1.1. Análisis y Especificaciones de los Requerimientos de Seguridad

10.2.Seguridad en los Sistemas de Aplicación.10.2.1. Validación de Datos de Entrada 10.2.2. Controles de Procesamiento Interno .10.2.3. Autenticación de Mensajes10.2.4. Validación de Datos de Salidas.

10.3. Controles Criptográficos.10.3.1. Política de Utilización de Controles Criptográficos10.3.2. Cifrado .10.3.3. Firma Digital.10.3.4. Servicios de No Repudio .10.3.5. Administración de Claves

10.3.5.1.Protección de Claves Criptográficas .10.3.5.2. Normas, Procedimientos y Métodos .

10.4. Seguridad de los Archivos del Sistema 10.4.1. Control del Software Operativo .10.4.2. Protección de los Datos de Prueba del Sistema .10.4.3. Control de Cambios a Datos Operativos .10.4.4. Control de Acceso a las Bibliotecas de Programas

Fuentes



10.DESARROLLO Y MANTENIMIENTO DE SISTEMAS (cont)

10.5. Seguridad de los Procesos de Desarrollo y Soporte .10.5.1. Procedimiento de Control de Cambios10.5.2. Revisión Técnica de los Cambios en el Sistema

Operativo10.5.3. Restricción del Cambio de Paquetes de Software 10.5.4. Canales Ocultos y Código Malicioso .10.5.5. Desarrollo Externo de Software.

11.ADMINISTRACIÓN DE LA CONTINUIDAD DE LAS ACTIVIDADES DEL ORGANISMO.

11.1. Proceso de la Administración de la Continuidad del Organismo.

11.2 Continuidad de las Actividades y Análisis de los Impactos .

11.3 Elaboración e Implementación de los Planes de Continuidad de las Actividades del Organismo

11.4 Marco para la Planificación de la Continuidad de las Actividades del Organismo

11.5 Ensayo, Mantenimiento y Reevaluación de los Planes de Continuidad del Organismo



12.CUMPLIMIENTO .

12.1.Cumplimiento de Requisitos Legales 12.1.1. Identificación de la Legislación Aplicable 12.1.2. Derechos de Propiedad Intelectual .

12.1.2.1. Derecho de Propiedad Intelectual del Software12.1.3. Protección de los Registros del Organismo 12.1.4. Protección de Datos y Privacidad de la Información Personal .12.1.5. Prevención del Uso Inadecuado de los Recursos de

Procesamiento de Información12.1.6. Regulación de Controles para el Uso de Criptografía.12.1.7. Recolección de Evidencia .

12.2.Revisiones de la Política de Seguridad y la Compatibilidad Técnica

12.2.1. Cumplimiento de la Política de Seguridad 12.2.2. Verificación de la Compatibilidad Técnica.

12.3. Consideraciones de Auditorías de Sistemas12.3.1. Controles de Auditoría de Sistemas 12.3.2.Protección de los Elementos Utilizados por la Auditoría de

Sistemas12.4.Sanciones Previstas por Incumplimiento


Implicancias legales

Cumplimiento de requisitos legales, normativos y

contractuales

Derechos de Propiedad Intelectual (Ley 11.723)

Protección de los registros del OrganismoÉtica en el Ejercicio de la Función Pública. Ley 25.188

Código de Ética de la Función Pública

Código Penal Art. 255

Ley N° 24.624. Artículo 30

Decisión Administrativa 43/96

Protección de datos personales (Ley 25.326) – Habeas Data

Uso de recursosLey Marco de Regulación de Empleo Público Nacional (Ley 25.164)

Convenio Colectivo de Trabajo General Adm. Públ. Nacional

Ética en el Ejercicio de la Función Pública (Ley 25.188)

Código de Ética de la Función Pública

Uso de Firma Digital (Ley 25.506)

Conclusión

Conclusión

¿Qué implicó la aprobación de la Decisión

Administrativa? El desarrollo de una Política de Seguridad en cada Organismo.

La asignación de responsabilidades en materia de seguridad dentro del Organismo.

La concientización respecto de la criticidad de la seguridad de la información.

La participación de todas las áreas sustantivas del organismo.

El aumento del nivel de seguridad en los Organismos.

El cumplimiento de normas y leyes vigentes.

Conclusión

¿Qué no implicó la aprobación de la Decisión

Administrativa? La generación de erogaciones

adicionales

La necesidad de incorporar personal adicional

El requisito de certificar la norma ISO/IRAM 17799

Siguientes pasos

Próximos pasos

Se produjo la aprobación del “Modelo de Política de Seguridad de la Información para la Administración Pública” cuyo detalle vimos precedentemente. A partir de dicha fecha de aprobación, comenzaron a registrarse los 180 días hábiles de plazo establecidos en la Decisión Administrativa para la redacción/adecuación de la Política de Seguridad de cada Organismo.

Aprobación del Modelo de Política

Próximos pasos

Se ha planificado el dictado de cursos de capacitación en el desarrollo de una Política de Seguridad de la Información para el apoyo a los Organismos en el cumplimiento de la Decisión Administrativa, los que fueron llevados a cabo satisfactoriamente.

Cursos de Capacitación y Asistencia

Próximos pasos

Se prevé publicar en el sitio de políticas, documentación adicional al Modelo, como ser modelos de procedimientos, los cuales podrán ser utilizados por los Organismos.

Asimismo se buscará crear un espacio colaborativo en el cual cada Organismo pueda aportar documentación desarrollada para fines propios, de manera que otros puedan también aprovecharlo.

Publicación de Documentación adicional

Presentación

de datos estadísticos

elaborados a partir de las Auditorías Operativas de

Organismosrealizadas por SIGEN

SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN

El 29% de los Organismos no ha asignado las funciones de desarrollo y procesamiento a responsables independientes

Riesgos

• Ausencia de control por oposición de intereses

• Posiblidad de eludir los controles y validaciones incorporados en los sistemas


El 69% de los Organismos carece de procedimientos de control para el desarrollo y mantenimiento de sistemas Riesgos

• Modificaciones no autorizadas sobre los Sistemas

• Incorrecta administración de prioridades

• Falta de aplicación de estándares de programación y documentación

• Implementación de Sistemas no probados


El 69% de los Organismos carece de procedimientos aprobados para las tareas de administración de seguridad.

Riesgos

• Accesos no autorizados a la información o los recursos del Organismo

• Inexactitud o falta de confiabilidad de los datos o Sistemas

• Falta de disponibilidad de la información o recursos necesarios


El 74% de los Organismos carece de un plan para afrontar Contingencias.

Riesgos

• Interrupciones a la continuidad operativa del Organismo, con la consiguiente imagen negativa e incumplimiento de la misión asignada


El 59% de los Organismos carece de procedimientosdocumentados para la generación de back ups.

Riesgos

•Pérdidas de información

•Falta de continuidad operativa del Organismo

•Dependencia del personal que se encarga de la tarea

Preguntas más frecuentes


¿Cada Organismo debe aprobar una única Política de Seguridad, que abarque a todas sus dependencias?

Cada Organismo puede:

• Dictar una única Política de Seguridad de la Información que sea de cumplimiento obligatorio por todas las dependencias bajo su incumbencia o

• Dictar una política de alto nivel, que contenga lineamientos generales para todo el Organismo (administración central y sus dependencias), sobre cuya base luego cada división dicte sus propias Políticas de Seguridad de la Información independientes (siempre alineadas a la política global del Organismo), o

• Dictar una Política de Seguridad de la Información para el Organismo y para algunas de sus dependencias, y requerir al resto de ellas que redacten sus propias políticas (alineadas a la política global del Organismo)

En todos los casos, las Políticas de Seguridad de la Información que se desarrollen deben adecuarse al Modelo que oportunamente se apruebe.

AdministraciónCentral



¿Cada Organismo debe aprobar una única Política de Seguridad, que abarque a todas sus dependencias?

La elección de cualquiera de estas alternativas debe ser evaluada por cada Organismo, siempre cuidando que se cubra la totalidad de sus

recursos de información



Sec. ASec. A

Sec. BSec. B

Sec. CSec. C

Sec. ASec. A

Sec. BSec. B

Sec. CSec. C



Sec. ASec. A

Sec. BSec. B

Sec. CSec. C

Política Única

Líneas Generales

Políticas Individ

Políticas Mixtas

+


¿Si un Organismo decide que cada dependencia redacte su propia Política, cómo se conforma el Comité de Seguridad?

El Comité de Seguridad está conformado por la máxima autoridad del Organismo, y representantes de cada Dirección.

Desde un punto de vista práctico, los objetivos del Comité de Seguridad tienen una relación muy directa con los contenidos y las áreas involucradas en la redacción de la Política


¿Las responsabilidades de seguridad de la información recaen en el Responsable de Seguridad Informática?

En el Modelo de Política intervienen una serie de “actores” cada uno de los cuales posee una serie de funciones y responsabilidades que deben explicitarse y asignarse de acuerdo a lo que plantea el Modelo y adaptándolo a la realidad de cada Organismo. Estos son:

Máxima autoridaddel Organismo

Máxima autoridaddel Organismo

Comité de SeguridadComité de Seguridad

Coordinador delComité de Seguridad

Coordinador delComité de Seguridad

Propietario de laInformación

Propietario de laInformación

Responsable deSeguridad Informática

Responsable deSeguridad Informática

Responsable deUnidad Organizativa

Responsable deUnidad Organizativa

Responsable delÁrea Informática

Responsable delÁrea Informática

Unidad de AuditoríaInterna

Unidad de AuditoríaInterna

Responsable delÁrea Legal

Responsable delÁrea Legal

Responsable delÁrea de RRHH

Responsable delÁrea de RRHH

Responsable delÁrea de Administración

Responsable delÁrea de Administración

Todo el personaldel Organismo

Todo el personaldel Organismo

¡¡¡ MUCHAS GRACIAS !!!

Sugerencias y Preguntas

Conclusión

hijacking

• IP hijacking: secuestro de una conexión TCP/IP por ejemplo durante una sesión Telnet permitiendo a un atacante inyectar comandos o realizar un ataque DoS (denegación de servicio) durante dicha sesión.

• Page hijacking: secuestro de página web. Hace referencia a las modificaciones que un atacante realiza sobre una página web, normalmente haciendo uso de algún bug de seguridad del servidor o de programación del sitio web (también es conocido como defacement o desfiguración).

• Reverse domain hijacking o Domain hijacking: secuestro de dominio.

• Session hijacking: secuestro de sesión.

• Home Page Browser hijacking: secuestro de la página de inicio del navegador. Esto sucede cuando la página de inicio, en la que navegamos es cambiada por otra a interés del secuestrador. Generalmente son páginas en las que nos invita a usar los servicios de la página para que nuestro equipo esté seguro y funcione correctamente. No cabe decir que es a cambio de un pago y que el origen del error y mal funcionamiento del equipo es debido a nuestro secuestrador

http://es.wikipedia.org/wiki/DoS

http://es.wikipedia.org/wiki/Defacement

hijacking

Browser hijacking: (Secuestro de navegadores en español). Se llama así al efecto de apropiación que realizan algunos spyware sobre el navegador web lanzando popups, modificando la página de inicio, modificando la página de búsqueda predeterminada , etc. Es utilizado por un tipo de software malware que altera la configuración interna de los navegadores de Internet de una computadora. El término "secuestro" hace referencia a que éstas modificaciones se hacen sin el permiso y el conocimiento del usuario. Algunos de éstos son fáciles de eliminar del sistema, mientras que otros resultan extremadamente complicados de eliminar y revertir sus cambios.

Modem hijacking: secuestro del Modem. Esta expresión es utilizada para referirse a la estafa de los famosos dialers que tanto daño hicieron en su época (antes del auge del ADSL- {Línea de abonado digital asimétrica}), que configuraban nuevas conexiones a números de cobro extraordinario sin el consentimiento del usuario.

Thread hijacking: secuestro de un "tema" dentro de un foro de discusión de Internet. Este termino hace referencia a la situación que ocurre cuando en un foro y dentro de un tema de discusión alguien intenta dirigir el hilo de la conversación hacia asuntos que no tienen nada que ver con el tema inicial. Esto puede realizarse de manera intencionada para irritar al autor del tema o bien producirse de manera natural y no intencionada (gralmente. por usuarios sin mucho conocimiento en el asunto a tratar o que desconocen la dinámica de comportamiento de los foros). Usualmente en los tablones de imágenes se suelen descarrilar los hilos, posteando capturas de Spiderman de los 60 u otros gráficos con textos cómicos añadidos.

http://es.wikipedia.org/wiki/Dialer

http://es.wikipedia.org/wiki/Asymmetric_Digital_Subscriber_Line

http://es.wikipedia.org/wiki/Asymmetric_Digital_Subscriber_Line

http://es.wikipedia.org/wiki/Spider-Man_(serie_de_televisi%C3%B3n_de_1967)

http://es.wikipedia.org/wiki/Spider-Man_(serie_de_televisi%C3%B3n_de_1967)

00-política de seguridad de la información_da_669-04- ultimo (1)

Documents